Weboldal keresés

A hálózati hozzáférés korlátozása a FirewallD használatával


Linux-felhasználóként engedélyezheti vagy korlátozhatja a hálózati hozzáférést bizonyos szolgáltatásokhoz vagy IP-címekhez a tűzfal tűzfallal, amely a CentOS/RHEL 8 és a legtöbb RHEL rendszerben natív. alapú disztribúciók, például a Fedora.

A tűzfal tűzfal a firewall-cmd parancssori segédprogramot használja a tűzfalszabályok konfigurálásához.

Mielőtt bármilyen konfigurációt végrehajtanánk, először engedélyezzük a tűzfal szolgáltatást a systemctl segédprogrammal, az ábrán látható módon:

sudo systemctl enable firewalld

Ha engedélyezve van, elindíthatja a tűzfal szolgáltatást az alábbiak végrehajtásával:

sudo systemctl start firewalld

A tűzfal állapotát a következő parancs futtatásával ellenőrizheti:

sudo systemctl status firewalld

Az alábbi kimenet megerősíti, hogy a tűzfal szolgáltatás működik és működik.

Szabályok konfigurálása tűzfal segítségével

Most, hogy a tűzfalunk fut, rögtön nekiláthatunk néhány konfigurációnak. A Firewall lehetővé teszi portok hozzáadását és blokkolását, tiltólistát, valamint IP-címek engedélyezését a kiszolgálóhoz való hozzáférés érdekében. A konfigurációk elvégzése után mindig győződjön meg arról, hogy újratölti a tűzfalat, hogy az új szabályok életbe lépjenek.

TCP/UDP port hozzáadása

Port hozzáadásához mondja ki a 443-as portot a HTTPS esetén, használja az alábbi szintaxist. Vegye figyelembe, hogy a portszám után meg kell adnia, hogy a port TCP vagy UDP port-e:

sudo firewall-cmd --add-port=22/tcp --permanent

Hasonlóképpen, egy UDP port hozzáadásához adja meg az UDP opciót az ábrán látható módon:

sudo firewall-cmd --add-port=53/udp --permanent

A --permanent jelző biztosítja, hogy a szabályok az újraindítás után is fennmaradjanak.

TCP/UDP port blokkolása

Egy TCP-port, például a 22-es port blokkolásához futtassa a parancsot.

sudo firewall-cmd --remove-port=22/tcp --permanent

Hasonlóképpen, az UDP port blokkolása ugyanazt a szintaxist fogja követni:

sudo firewall-cmd --remove-port=53/udp --permanent

Szolgáltatás engedélyezése

A hálózati szolgáltatások az /etc/services fájlban vannak meghatározva. Egy szolgáltatás, például a https engedélyezéséhez hajtsa végre a következő parancsot:

sudo firewall-cmd --add-service=https

Szolgáltatás letiltása

Egy szolgáltatás, például az FTP blokkolásához hajtsa végre a következőt:

sudo firewall-cmd --remove-service=https

IP-cím engedélyezése

Ha egyetlen IP-címet szeretne engedélyezni a tűzfalon, hajtsa végre a következő parancsot:

sudo firewall-cmd --permanent --add-source=192.168.2.50

Egy CIDR (Classless Inter-Domain Routing) jelöléssel IP-címek tartományát vagy egy teljes alhálózatot is engedélyezhet. Ha például egy teljes alhálózatot szeretne engedélyezni a 255.255.255.0 alhálózatban, hajtsa végre a parancsot.

sudo firewall-cmd --permanent --add-source=192.168.2.0/24

Az engedélyezési listán szereplő IP-cím eltávolítása

Ha el szeretne távolítani egy engedélyezőlistán szereplő IP-címet a tűzfalon, használja a --remove-source jelzőt az alábbi módon:

sudo firewall-cmd --permanent --remove-source=192.168.2.50

A teljes alhálózathoz futtassa:

sudo firewall-cmd --permanent --remove-source=192.168.2.50/24

IP-cím blokkolása

Eddig azt láttuk, hogyan adhat hozzá és távolíthat el portokat és szolgáltatásokat, valamint hogyan vehet fel és távolíthat el engedélyezőlistán szereplő IP-címeket. Egy IP-cím blokkolásához „bővített szabályok” használatos erre a célra.

Például a 192.168.2.50 IP blokkolásához futtassa a következő parancsot:

sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.50' reject"

A teljes alhálózat blokkolásához futtassa:

sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.0/24' reject"

Tűzfalszabályok mentése

Ha bármilyen változtatást hajtott végre a tűzfalszabályokon, futtassa az alábbi parancsot a módosítások azonnali alkalmazásához:

sudo firewall-cmd --reload

A tűzfalszabályok megtekintése

Ha meg szeretné tekinteni a tűzfal összes szabályát, hajtsa végre a következő parancsot:

sudo firewall-cmd --list-all

Ezzel az útmutatóval zárul a hálózati hozzáférés engedélyezése vagy korlátozása a FirewallD használatával CentOS/RHEL 8 rendszeren. Reméljük, hogy hasznosnak találta ezt az útmutatót.